태니엄, 엔드포인트 보안 및 운영의 활용 사례

© 2015 Tanium, Inc. All rights reserved. Tanium is a registered trademark of Tanium, Inc. All other brands, products, or service names are or may be trademarks or service marks of their respective owners.

Many organizations now prepare with an understanding that cyber attacks will occur, and that relying on prevention strategies alone without considering the

means to combat successful intrusions will ultimately lead to breaches and the eventual loss of intellectual property or sensitive data.

Therefore, a popular metric to measure the e�ectiveness of a security program is how much time elapses between when an initial compromise occurs and when a successful remediation event takes place to expel attackers from the network – also known as an incident’s “dwell time”. We can all agree that minimizing this timeframe is critical to reducing the potential impact of attacks on business and infrastructure, yet research consistently shows compromises o�en remain unnoticed for months.

Unfortunately this status quo persists, because security teams are burdened by point solutions that are too slow, too limited in capabilities, and too di�icult to use. Not to mention, these solutions o�en rapidly degrade in reliability and accuracy when required to scale across large, distributed environments. As a result, already overextended security personnel spend even more time responding to alerts, forcing them to neglect threats and proper coordination across teams.

Tanium is the only platform that enables a closed-loop process for endpoint security – spanning threat detection, investigation, remediation and ongoing enforcement of IT security hygiene across the organization – with unprecedented speed and scale. This holistic approach to endpoint security is truly transformational, as it breaks down barriers across teams that can stall security and introduce business risk.

In the pages that follow, we present use cases that show how the Tanium Endpoint Platform can help defend your enterprise from rapidly growing security threats. As you read, consider your organization’s current and planned IT security projects. Are the tools currently in place serving all of your needs and priorities? Can they scale along with the increase in endpoints in your environment and if so, what is the cost to do so? And can your team detect threats in seconds, then quickly remediate them?

Enforce: Maintain Security Hygiene To Minimize Attack Surface

The first step to e�ective threat and breach protection is to proactively reduce the attack vectors available to adversaries seeking to infiltrate the network. This begins with properly securing and hardening the endpoints, which fundamentally presents the widest attack surface area available for hackers to target. Enforcing good security hygiene enterprise-wide continues to elude virtually every IT security organization, because even though strict policies and security standards are o�en established, maintaining these over time across every endpoint on a global scale is simply impractical without complete endpoint visibility and control in seconds.

WITH TANIUM

1. Locate endpoints out of compliance and take the corrective actions necessary to restore them to the desired state and configuration in seconds.

2. Complete patch cycles reliably, from distribution to deployment, at speeds 10,000 times faster than legacy solutions, and create e�ective breach-prevention patch strategies.

Use Case: Continuous Endpoint Configuration Compliance

To truly enforce continuous adherence to security policies on the endpoint, IT security administrators must be able to query and take action across every endpoint enterprise-wide in seconds. Visibility and control at this level of speed at scale is essential, because it enables an organization to maintain a state of universal compliance for their endpoints by being able to automatically make corrective changes as violations occur.

Only with Tanium can you properly enforce good security hygiene throughout the environment, and ensure critical services are properly enabled and desired security controls remain in place at all times – even across di�erent operating systems and for endpoints both on and o� the enterprise network.

Consider these examples of endpoint configurations and security controls that are o�en di�icult to enforce adherence to a desired standard or policy over time across every endpoint:

● Patch requirements for so�ware such as Java, Adobe Flash and web browsers.

● AV agents are running and updated with the latest definitions.

● Policies for restricting open public network shares.

● Policies for establishing connections to external locations.

● Policies for applications that are not permissible on endpoints.

● Policies for connecting USB storage devices to machines containing sensitive data – either currently or at any point in the past.

● Naming, permissions and password policies for administrator-level accounts.

Use Case: Up-to-Date Patching For Windows Operating Systems

Proactive patching for operating system security updates is perhaps the single most valuable enforcement activity an organization can perform to prevent against future attacks. Unfortunately, the overwhelming majority of attacks o�en exploits a weakness in systems where a patch addressing the vulnerability is available, and had been for months. This strongly indicates that most organizations still do not have a consistent patch deployment strategy or process.

Unlike typical patch solutions, Tanium is capable of distributing and successfully completing patch cycles in minutes rather than hours or days, even across the largest global networks. In addition, Tanium provides the flexibility to customize alerting, scheduling, and rules to automatically include or exclude Windows patches based on their nature. Tanium’s hallmark speed, scalability and flexibility minimize disruptions to end users, and provide the means to implement an ongoing patch strategy that enforces good security hygiene enterprise-wide.

태니엄(Tanium): 엔드포인트 보안을 위한 솔루션

USE CASES

HS-UC-TAN-ES-010416

2








CONTENTS

3INTRODUCTION

Enforce: 공격 취약지점 최소화를 위한 보안환경수준(Security Hygiene)의 정립 4

4

5

Use Case: 지속적인 엔드포인트 설정(Configuration) 컴플라이언스 유지

Use Case: 윈도우 OS에 대한 최신 패치 적용

Detect: 알려진 혹은 알려지지 않은 위협의 근절 6

6

7

Use Case: 침해지표(IOCs, Indicators Of Compromise) 자동 스캐닝

Use Case: APT, 데이터 유출 및 내부자 위협에 대한 능동적 대응

Investigate: 보안 사고 발생 시, 신속하고 정확한 조사 수행 8

9

10

Use Case: 침입이 의심되는 시스템에 대한 즉각적인 위험수준 판단 및 조사

Use Case: 새롭게 발견된 단서들을 활용, 몇 초안에 침입에 대한 조사 실시

11Remidiate: 공격자 및 보안 취약점을 정확하고 신속하게 제거

11

12

Use Case: 멀웨어 제거 및 침입 확인된 엔드포인트에 대한 권한 획득

Use Case: 치명적 취약성에 대한 비상 보안업데이트 실행



WITH TANIUM

















Tanium For Endpoint Security

USE CASES

3USE CASES


다 수의 정부기관 및 기업들은 사이버 공격에 대비하여, 발생한 침입에 대응할 수 있는 수단에 대한 고려 없이 예방전략에만 전적으로 의존한다면,

필수적으로 보안 사고로 귀결되고, 지적 재산 및 민감정보에 대한 손실이 유발될 것이라는 사실을 충분히 이해하고 있다.

따라서, 특정 기업의 보안 프로그램이 얼마나 유효한 지 판단할 수 있는 하나의 지표로 사고진행시간(Incident’s dwell time)을 일반적으로 사용하고 있다. 이는 최초 침입 발생 시점과 네트워크상에서 공격자를 제거하고 성공적인 대응 조치가 완료된 시점과의 시간적 갭을 의미한다. 사이버공격이 비즈니스와 인프라에 미치는 잠재적 충격을 줄이기 위해서는, 이러한 사고진행시간을 최소화하는 것이 당연하다고 볼 수 있으나, 리서치 결과에 따르면 보안 침입은 수 개월에 걸쳐 인지되지 못하고 있는 것이 현실이다.

불행히도 각 기업들의 보안 팀은 매우 느리고, 기능은 제한적일뿐더러, 사용이 어려운 많은 수의 개별 솔루션들을 모두 다루어야 하는 과중한 업무에 지쳐있는 것이 현실이다. 이들 솔루션들은 공히 대규모 환경이나 분산 환경에서는 신뢰성과 정확성이 급격히 떨어진다. 결과적으로 업무에 지친 보안 담당자는 보다 늘어난 경보횟수를 감당하지 못하고 어쩔 수 없이 위협신호를 무시하거나, 대응 조치를 위한 타 팀과의 조율을 게을리할 수 밖에 없다.

태니엄(Tanium)은 엔드포인트 폐루프(Closed loop) 관리체계를 적용하여 탐지(Detection), 조사(Investigation), 대응(Remediation), 조직 내 정책의 시행 및 지속적인 적용(Enforcement)을 아우르는 유일한 플랫폼이다. 더불어 빠른 속도와 대규모 대응이라는 비교할 수 없는 강점을 가진다. 엔드포인트 보안사이클에 대한 전체적 접근법은, 팀 간의 업무소통 부재로 인한 보안정책 시행의 어려움과 비즈니스 리스크를 해소할 수 있다.

본 문서에서는 급증하는 보안 위협에 직면하여, 기업의 보안을 강화하기 위해 태니엄 엔드포인트 플랫폼이 어떻게 활용될 수 있는지에 대한 사용사례(Use case)를 제시한다. 조직 내 현 IT 보안 프로젝트를 고려하며 내용을 읽어 볼 것을 권고한다. 현재 툴들은 고객의 니즈와 보안 우선순위 비추어 제 역할을 하고 있는가? IT 환경 내 엔드포인트의 급증에 충분히 대응할 수 있는가? 그러하다면 비용은 적절할 것인가? 보안팀은 수 초 이내에 위협을 탐지할 수 있는가? 이에 대한 즉각적인 조치는 가능한가?



WITH TANIUM

















“태니엄을 통해서 엔드포인트 보안사이클에 대한 전체적인 접근을 확고히 하였으며, 보안팀은 수 십만 대의 전사 엔드포인트에 대해 즉각적이고 빠른 질의와 조치를 시행할 수 있었습니다. 태니엄만의 고유한 아키텍처와 플랫폼 접근법은 빠른 속도와 규모에 대한 대응 및 유연성을 제공해 주었으며, 적용 범위를 지속적으로 확대함으로써 태니엄만의 강력한 효과를 체감하고 있습니다.”

Rohan Amin, 글로벌 CISO, JPMorgan Chase

PARTY

Build Security Hygiene Into Operations

Cost-E�ective, Reliable Security Across the Enterprise

Asset Management

Configuration Management

Patch Management

Risk and Compliance

15-Second Remediation At Scale

Fix Issues Quickly and Completely

15 Seconds

15-Second Visibility To Triage With Context

Focus on the Real Issues Quickly and E�iciently

Fast, Accurate, Complete Hunting At Scale

Quickly Answer: What, Where, How It Happened? and Is It Still Happening?

15 Seconds

SECURITY

IT OPERATIONS

3rd

HELP DESK SIEM IOCs


4USE CASES








Enforce: 공격 취약지점 최소화를 위한 보안환경수준(Security Hygiene)의 정립

보안위협 및 보안침해를 효과적으로 방어하기 위한 첫 번째 단계는 공격자가 네트워크에 침입하기 위해

활용 가능한 공격벡터(Attack vectors)를 선제적으로 줄이는 것이다. 이는 해커의 타깃으로 가장 유력한

엔드포인트의 보안을 강화하고 보다 탄탄한 운영 체계를 구축하는 것으로부터 시작한다. 하지만 엄격한

정책과 보안 규정을 지속적으로 수립함에도 불구하고, 완벽한 엔드포인트 가시화와 즉각적인 통제가 가능

하지 않은 상황에서는 글로벌 규모의 모든 엔드포인트에 대한 관리는 불가능하기 때문에, IT 보안 관련 조

직들이 기업 전반에 대한 확고한 보안환경수준(Security Hygiene)을 유지하고 시행하는 것은 매우 어

려운 일이다.

WITH TANIUM1. 컴플라이언스(Compliance)를 위반한 엔드포인트들을 즉각 파악하고, 규정된 상태 및 설정으로 복구하기 위한 조치를

단 몇 초안에 시행한다.

2. 기존 솔루션 대비 10,000배의 속도로 배포에서 설치까지의 패치사이클을 완료하고, 효과적인 침해방지를 위한 패치전략을 수립한다.

Use Case: 지속적인 엔드포인트 설정(Configuration) 컴플라이언스 유지

엔드포인트에 대한 보안정책의 실질적 준수를 위해서, IT 보안관리자는 기업 전반에 걸쳐있는 모든 엔드포인트를 대상으로 짧은 시간 이내 질의하고 이에 상응한 조치가 가능해야 한다. 또한 보안 위반사항 발생 시 엔드포인트에 대한 자동적 대응조치가 가능해야 전사 컴플라이언스를 유지할 수 있는데, 이는 규모와 상관 없이 모든 엔드포인트에 대한 가시화 및 통제가 몇 초안에 이루어진다는 것을 의미한다.

네트워크 연결상태가 수시로 변경되고, 이종의 OS(Operating systems)로 구성된 엔드포인트 환경에서는 오직 태니엄(Tanium)만이 보안환경수준(Security hygiene)을 유지하고, 중요 서비스를 원활하게 제공되도록 하며, 이상적인 수준의 보안통제가 상시 가능하도록 할 수 있다.

기업 내 보안표준 및 정책을 모든 엔드포인트에 동일하게 적용하는 데에는 많은 어려움이 따르는데, 특히 모든 엔드포인트에 대한 설정(Configurations) 및 보안통제를 시행하는데 있어서 다음 예시들이 큰 장벽이 될 수 있다.

● 자바, 어도비 플래시 및 웹 브라우저와 같은 소프트웨어 패치의 수행

● 안티바이러스 에이전트의 최신 업데이트 및 상시 운용성 유지

● 인터넷 망 공유 통제 정책의 시행

● 외부 연결 관련 정책의 시행

● 엔드포인트에 설치가 허용되지 않는 애플리케이션에 대한 정책

● 민감정보를 보유한 엔드포인트에 대한 USB 스토리지 디바이스 연결 정책 – 현재 및 과거 연결 히스토리 관리

● 관리자 계정의 네이밍(Naming), 퍼미션(Permissions) 및 패스워드 정책





5USE CASES










WITH TANIUM














Use Case: 윈도우 OS에 대한 최신 패치 적용

미래에 있을지 모르는 사이버공격을 방지하기 위해, 조직 내에서 가장 중요한 단일 액티비티(Activity)로 볼 수 있는 것 중 하나가 OS 보안업데이트다. 대다수의 사이버공격은, 취약성이 공식적으로 알려진 후 이미 패치가 제공되는 시스템 내의 취약 지점을노리는데, 이 점은 대부분의 조직이 지속적인 패치전략 및 패치프로세스를 수행하는 데 실패하고 있다는 점을 시사한다.

패치사이클 수행에 몇 시간 또는 며칠까지도 소요되는 일반적 패치 솔루션들과는 달리, 태니엄은 단 몇 분만에 패치를 배포하고 완료할 수 있다. 또한 필요에 따라 자동화 룰(Rules)를 사용하여, 엔드포인트에 윈도우 패치를 선별적으로 적용할 수 있으며, 알림(Alerting) 및 스케줄링(Scheduling)을 설정할 수도 있다.

Customer Spotlight공공부문의 한 고객은 보안 프로토콜 규제준수를 위해 WAN 링크를 통하여 25개 원격지에 산재된 150,000개 이상의 엔드포인트에 대한 감사가 필요하였다. 현재 보유한 툴과 프로세스 및 WAN망을 사용하면, 하나의 로케이션 당 2~3일이 소요되며, 총 700여 페이지에 이르는 26개의 개별 리포트를 작성하게 된다. 게다가 해당 리포트는 현재 상태가 아닌 이미 유효성을 상실한 과거 상태에 대한 보고서일 뿐이다. 이 고객은 태니엄을 사용하여, 150,000개 이상의 엔드포인트에 대해 동일한 감사 업무를 불과 몇 분만에 수행하였고, 과거에는 연간 수행된 감사 업무가 현재에는 일일 업무로 편입되었다.

Customer Spotlight미국 의료부문 한 대형기업에서는 200,000대 이상의 엔드포인트에 태니엄을 적용하였으며, 기존에 패치 관리 솔루션을 보유하고 있었음에도 불구하고, 5백 만개 이상의 윈도우 OS 패치가 적용되지 않았다는 사실을 즉각 확인할 수 있었다. 이 고객은 태니엄을 사용하여 중요 보안업데이트를 배포하고 설치할 수 있었으며, 모든 엔드포인트에 대한 효과적인 패치 전략을 수립할 수 있었다.


6USE CASES


1. 사용자 정의 기간을 설정하여 정기적인 스캔이 가능하도록 스케줄링 하여 IOC 탐지를 자동화

2. 사전 정의된 질의 등을 통해, 수 백만 대의 엔드포인트에 대한 위협, 취약성 및 이상행위를 정확하게 검색

Use Case: 침해지표(IOCs, Indicators Of Compromise) 자동 스캐닝

오늘날의 기업들은 보안위협정보를 수집하는데 많은 돈과 시간을 투자하고 있으며, 위협정보의 분석역량을 지속적으로 확대하고, 동종기업간 정보공유를 위해 협력하고 있다. 하지만 이렇게 제공되는 정보들이 매우 가치 있는 것임에도 불구하고, 정작 보안팀은 수집된 침해지표를 활용할 수 있는 수단은 보유하고 있지 못한 상황이다. 많은 경우, 조직에서 활용되는 침해지표는 네트워크 기반 지표들이며, 엔드포인트 지표들은 거의 방치되고 있는 것 또한 현실이다. 이는 현재 보유하고 있는 침해지표 스캐닝 툴들이 다음과 같은 결점을 가지고 있기 때문이다.

● 너무 느리다 – 단일 시스템에서 조차도 침해지표 스캔은 몇 시간이 걸리고, 전체 환경에 적용할 경우 며칠에서 몇 주까지도 소요된다.

● 유연하지 못하다 – 광범위한 지표 지원이 안되고 특정 지표 제공자에 종속되어 사용자가 직접 침해지표를 적용하거나폐기해야 한다.

● 신뢰할 수 없다 – 제한적인 아티팩트(Artifacts) 스캔만 가능하므로, 침해탐지의 가능성이 줄어든다.

태니엄 플랫폼은 단순 또는 복합 침해지표에 모두 대응할 수 있다. 또한 태니엄은 플랫폼의 기본 검색과 동일한 속도로 대규모 엔드포인트에 대한 스캔을 자동으로 수행한다. 따라서 조직은 기 확보된 위협정보를 효과적으로 활용할 수 있으며, 침입 발생 후 탐지에 걸리는 시간을 대폭 줄일 수 있다.다음은 자동화 침해지표 스캐닝을 위한 태니엄만의 차별화 된 요소이다.

● 주요 지표 포맷을 모두 지원 – OpenIOC, Yara 및 STIX

● TAXII 스트림, 써드파티 공급자, 내부 리포지토리로부터 자동으로 지표 이관

● 파일 메타정보, 네트워크 현황, 메모리 사용 프로세스, 레지스트리 정보 등을 포함한 수십 개의 시스템 아티팩트 및 유형들을 매칭

● 불리언(Boolean) 연산이 적용된 복합 침해지표를 포함하여 단 몇 초안에 침해지표 평가(Evaluation)

● 현재 엔드포인트 액티비티 뿐만 아니라, 이미 단절된 네트워크 연결과 같은 히스토리 데이터에 대해서까지 침해지표 검색

● 환경 내 실행중인 프로세스 검색 및 알람 전송시, 간단한 해시 화이트리스트 및 블랙리스트 적용을 통해 추가적인 유연성확보

● 필요 시 침해지표 스캔을 즉각 수행할 수도 있으며, 사전 정의된 스케줄에 따른 자동스캔이 가능

● 도메인 컨트롤러 또는 데이터베이스와 같은 중요 서버, 관리자 소유 시스템, 가상 머신 등 특정 타깃을 대상으로 동적 그룹대상 스캔이 가능

● 보안침해지표의 히트(Hit)가 발생할 때마다 티켓 생성

Use Case: Proactive Hunting For APTs, Data Leakage And Insider Threats

While automated IOC scanning with speed at scale is a tremendous asset for security teams, organizations must also consider their ability to uncover the unknown threats that codified threat intelligence fails to detect, such as targeted attacks or insider threats and data leakage. The most challenging aspect of proactive threat detection across large, globally distributed networks is to know where to begin, what to look for, and how to e�iciently collect enough data – and the right data – to spot anomalies in seconds. Tanium allows users to conduct stacking and frequency analysis of search results in real-time to quickly identify outliers. Users can easily drill-down on systems of interest to gather more information and contextualize results.

In addition to ad-hoc searches, users can also construct dashboards that continuously and automatically collect filtered data for incident hunting and detection. This same data can likewise be sent to a SIEM for archiving or additional correlation and analytics.

The following examples illustrate just a few of the ways that Tanium can help proactively identify previously unknown threats and evidence of compromise across an environment:

● Identify the most and least common running processes, loaded libraries (DLLs), and drivers across the environment by stacking and comparing based on hash values, command lines, and file paths.

● Discover unknown, persistent malware via stack analysis of “autoruns” – applications that automatically start up at user logon or boot time – across all systems.

● Detect sequences of process execution and file creation consistent with common exploit techniques, such as those that target web browsers, plug-ins, and document files.

● Identify anomalous server services listening for inbound connections on systems exposed to the Internet.

● Detect atypical network tra�ic initiated by legitimate operating system processes that may be indicative of process injection or other forms of tampering.

● Track the usage of privileged accounts across workstations and servers, including local accounts that are o�en omitted from centralized monitoring and log aggregation.

● Identify malicious usage of Windows script interpreters, such as PowerShell, CScript, and WScript, which attackers o�en abuse to run malicious code and evade detection.

● Detect the use of scheduled tasks or Windows Management Instrumentation (WMI) to remotely execute commands or launch malware.

Use Case: Rapidly Triage And Investigate A Potentially Compromised System

Tanium provides direct access to both current and historical endpoint data suitable for incident response investigations. As a key part of these capabilities, Tanium records a variety of forensic artifacts that are not typically preserved by the operating system such as:

● Executed process paths, command lines, parent command lines, hashes, and user context.

● File creation, deletion, writes, and rename events – with user and process context.

● Registry key/value creation, writes, and deletion events – with user and process context.

● Network connections, including local and remote addresses and ports – with user and process context.

● Loaded driver paths, hashes, and digital signature information.

● Security events stored independently of the native event log including logons, logo�s, changes to credentials, group membership and policies.

Users can connect to a remote system and immediately search across this evidence, conduct timeline analysis, or take a snapshot of recent activity for o�line review. No time-consuming evidence collection or post-processing is required. In addition to traditional search and timeline analysis, Tanium also provides interactive visualizations to further enhance evidence analysis. These visualizations include a process tree for examining parent-child process relationships, and an interactive timeline that depicts clusters of file, registry, network, and process events.

If an analyst requires additional evidence, Tanium can connect to Windows, Mac, or Linux endpoints and acquire low-level forensic artifacts such as file system metadata, memory images, event logs, and auto-run mechanisms to name a few.

With Tanium, analysts can quickly take an existing lead – whether it is a timeframe of interest, a network address, file name, or hash – and easily conduct triage on a system. Tanium thereby simplifies the steps needed to solve common investigative scenarios, such as:

● Identify the root cause, such as an exploit or other form of illicit access, which led to the installation of malicious so�ware on a system.

● Determine why and what caused a system to communicate with a network address included in a security alert.

● Review the sequence of commands executed during attacker reconnaissance, lateral movement, or other command and control.

● Detect evidence of credential the� and misuse such as network or remote desktop logons initiated with stolen accounts.

● Identify the creation or transfer of temporary files such as stolen data that has been staged for exfiltration.

Use Case: Use Newly-Discovered Leads To Scope A Compromise In Seconds

Once incident investigators have successful unraveled the extent of compromise on an individual system, they must then leverage their findings to assess the impact across the entire enterprise. This is a common point of failure for many organizations, since most endpoint detection and response solutions lack the speed, scalability, or ease-of-use required to e�iciently scope an intrusion – or designed to only search a limited set of collected data.

Tanium is the only platform that provides the ability to search across historical, current-state, and latent data of all systems in an environment within seconds. In addition to ad-hoc and IOC hunting, Tanium can automatically link investigators to enterprise-wide searches generated based on forensic artifacts and findings. This can greatly accelerate the time required to triage complex incidents and ensure comprehensive remediation even across millions of endpoints.

The following are just a few examples of typical findings on compromised systems that Tanium can query for and answer in seconds:

● Which computers have run a known-malicious process with a specific file name, directory, command line arguments, or hash?

● Which computers contain registry keys and values configured to load a malicious executable or DLL?

● Which computers contain active, recently created, or recently deleted files matching an attacker’s preferred naming convention or path?

● What systems and processes have communicated with a known-malicious IP address?

● What process, registry, or file system activity has been performed on any system during a specific timeframe of interest by a known-compromised account?

● Where has a known-compromised local or domain account previously logged in? On what systems is the user currently active?

Investigate: Properly Scope Incidents Quickly And Completely

As soon as suspicious activities or threats are detected, security teams must be able to assess what is at risk, identify the root cause, and formulate a remediation strategy. Many organizations still rely on endpoint forensic analysis tools that are slow and cumbersome to use, require a high degree of skill, and do not e�ectively scale to handle large, distributed networks. As a result, many investigations fail to adequately scope the impact of an incident or consume weeks or months to do so, which reduces the likelihood of successful and timely remediation – prolonging the period of compromise and exposing the organization to continued risk.

Many organizations currently rely on one or more of the following technologies for endpoint investigations and analyses:

● Centralized analysis of anti-virus or HIPS event logs, which are limited to signature-based, malware-centric detection of known threats.

● Event monitoring and correlation in a SIEM, which o�en contains abundant data from network devices but minimal data from endpoints. For example, many organizations only ingest security event logs from a limited set of servers due to the di�iculty and overhead cost of event forwarding from all systems.

● Traditional remote forensic analysis tools that capture full disk and memory images may be suitable for single-host analysis but are time consuming, require a high degree of analysis skill, and not e�ective for rapid “hunting” and searches for evidence across all systems in an environment.

● Incident response tools that focus on centralizing a narrow window of historical forensic activity. While this capability is a useful addition to other investigative tools, it may not provide the ability to quickly search for “latent” artifacts (such as files at rest), or events that fall outside of the period of preserved history. Such solutions also o�en rely on significant hardware infrastructure and network resources required to transmit, store, and search this data.

WITH TANIUM

1. Instantly connect to and conduct live forensic investigations on any endpoint.

2. Use kernel-level monitoring to preserve evidence of process execution, file system and registry changes, network connections, driver loads, and security events – all including detailed metadata – for timeline analysis, search, and filtering.

3. Acquire additional evidence, such as memory images, event logs, contents of the registry, and file system metadata for additional deep-dive analysis of suspicious systems.

4. Pivot to 15-second enterprise-wide searches across historical, current-state, and latent evidence from all systems using the leads found during deep-dive analysis.

Remediate: Eliminate Attackers And Security Weaknesses With Precision And E�iciency

O�en when security teams have completed their incident investigations and are ready to remediate issues and compromises, they are forced to hando� responsibilities to di�erent administrators using a patchwork of tools to execute the task. This fragmentation in the remediation process results in overworked administrators creating bottlenecks, and fixes that o�en requires days to complete.

WITH TANIUM● A single user can immediately issue any corrective action as necessary across millions of endpoints.

● Teams have shared visibility ensuring every fix is properly executed and successful completion is verifiable in seconds ensuring endpoints are not recompromised over time.

Use Case: Eliminate Malware And Restore Control Over Compromised Endpoints

Once an incident has been fully scoped, remediation must be executed swi�ly and precisely to limit the time adversaries have to counteract corrective measures. Existing tools are either too slow or do not provide the necessary range of controls necessary to adapt to the rapidly evolving threat landscape and sophisticated techniques at attackers’ disposal.

Using Tanium, incident responders can systematically quarantine every infected system to immediately restrict communication with only the Tanium server and prevent further attempts at lateral movement or data exfiltration. Unlike every other security solution, Tanium also allows administrators to further take direct corrective measures on the endpoint, either on-demand or on a routine basis, to kill viruses, worms, Trojans, bots, backdoors, and other such malware, and recover from incidents of any scale across distributed environments.

Consider these examples of malware remediation actions the Tanium platform can perform and complete in seconds on one or more endpoints on the network:

● Kill malicious running processes.

● Repair autorun registry keys.

● Demote or delete local accounts with elevated permissions.

● Reset compromised user credentials.

● Uninstall rogue applications.

● Close unauthorized connections or open ports.

Use Case: Deploy Emergency Security Updates For Critical Vulnerabilities

Accurately identifying machines that are susceptible to critical vulnerabilities or a�ected by faulty so�ware updates on a global scale, and then subsequently deploying the necessary emergency patches o�en requires days or even weeks to complete using conventional patch management solutions. Prolonged exposure to critical vulnerabilities such as Heartbleed and Shellshock, which were actively exploited just hours a�er their disclosure, greatly heightens the risk for devastating breaches.

Tanium empowers IT security teams to quickly assess the patch levels across operating systems and applications, including but not limited to Windows, Java and Adobe Flash, and fully deploy the necessary security updates enterprise-wide in minutes rather than weeks.









WITH TANIUM

















Detect: 알려진, 혹은 알려지지 않은 위협의 근절

사일로(Silo)에 설치된 개별 솔루션들이 지나치게 많거나, 대응해야 하는 위협정보 피드

(Threat intelligence feeds)가 너무 많을 경우에는 적용 속도 및 적용 대상의 규모 문제로, 중요한 보안

이슈를 간과하게 되는 상황이 자주 발생한다. 결국 보안팀은 넘쳐 나는 알림 경보에 치여, 보안사고가 발생

한 경우에도 제 때 대응할 수 없는 결과로 이어지며, 이는 위협탐지활동의 실패로 단정지을 수 있다.

WITH TANIUM


7USE CASES


Use Case: APT, 데이터 유출 및 내부자 위협에 대한 능동적 대응

대규모 엔드포인트에 대해 빠른 속도로 보안침해지표를 자동스캔 할 수 있는 역량은 보안 팀에 엄청난 자산이 된다. 기업은 기존의 위협탐지기술을 무력화 하는 표적 공격, 내부자 위협, 데이터 유출 등과 같은 알려지지 않은 위협에 적절히 대응할 수 있는지 또한 고려해 보아야 하는데, 특히 글로벌로 분산된 대규모 네트워크 환경에서 선제적인 위협의 탐지 시, 위협의 출발점이 어디인지, 무엇을 찾아내어야 하는지, 이상 징후(Anomalies) 파악을 위해 필요한 데이터를 단 몇 초안에 효과적으로 수집하려면 어떻게 해야 하는지에 대한 문제는 가장 어려운 과제이다. 태니엄을 활용하면, 사용자는 실시간 검색결과에 스택(Stacking) 분석 및 빈도(Frequency) 분석을 실시하여 이상점(Outliers)을 신속하게 식별할 수 있다. 또한 특정 시스템을 드릴다운(Drill-down)하여 보다 자세한 정보를 수집할 수 있고, 이에 따른 현황 파악이 가능해진다.

애드혹(Ad-hoc) 검색뿐 아니라, 선별적 데이터를 지속적으로 자동 수집하고, 대시보드를 구성하여 보안사고 탐지에 활용할 수 있다. 또한 동일 데이터를 보안 정보 및 이벤트관리솔루션(SIEM, Security information and event management)으로 보내 상관관계 등의 추가적 분석에 활용할 수 있다.

태니엄을 통하여 알려지지 않은 위협을 식별하고 침해의 증거를 선제적으로 수집할 수 있는 몇 가지 사례들은 아래와 같다.

● 해시 값(Hash values), 커맨드라인, 파일경로에 기반한 비교분석 등을 통해 가장 일반적으로 사용되는 프로세스, 로드 된 라이브러리, 드라이버와 잘 사용되지 않는 프로세스, 라이브러리, 드라이버를 식별

● “오토런”(Autoruns) 스택분석을 통해 알려지지 않은 지능화 멀웨어 확인 –(오토런: 사용자 로그온 시점 또는 부팅 시간 동안 모든 시스템에서 자동으로 시작되는 애플리케이션)

● 웹 브라우저, 플러그인, 문서 파일 등을 목표로 하는 취약점 공격(Exploit) 기술로 판단되는 프로세스 실행 순서 또는 파일 생성 순서를 탐지

● 인터넷에 노출된 시스템을 대상으로 인입(Inbound) 연결에 집중하는 비정상적(Anomalous) 서버 서비스들의 식별

● 정상 OS 프로세스 중, 프로세스 인젝션(Injection)과 같은 부당 변경(Tampering) 위험이 있는 비정상 네트워크 트래픽 탐지

● 중앙 모니터링 및 로그 어그리게이션(Aggregation) 시 종종 누락되는 로컬 계정을 포함하여 워크스테이션 및 서버 전반의 특별 계정(Privileged accounts) 사용 현황 추적

● 악성 코드를 실행시키고 탐지 회피를 위해 자주 사용되는 파워쉘(PowerShell), CScript 및 WScript 등 윈도우 스크립트 인터프리터의 악성 사용을 식별

● 스케줄 태스크(Tasks) 또는 WMI(Windows Management Instrumentation)를 통한 원격 명령 및 멀웨어 실행 탐지


































WITH TANIUM






























WITH TANIUM

















Customer Spotlight미국 고객 중 하나인 특정 주 법무부는 태니엄을 도입하여, 과거 며칠에서 몇 주까지 소요되던 보안침해지표 검색 및 탐지를 15초 이내 완료할 수 있었다.

Customer Spotlight한 메이저 국방 사업자의 보안 관리자는 1만 대의 엔드포인트를 대상으로 한 태니엄 파일럿 중, 암호화 HTTPS 연결을 통해 보안 데이터를 유출시키는 다수의 아웃바운드(Outbound) 프로세스들을 발견하였다.


8USE CASES








































Investigate: 보안 사고 발생 시, 신속하고 정확한 조사 수행

이상행위 또는 위협이 탐지되면, 보안 팀은 즉각적으로 어떤 자산이 위험한 상황인지 판단하고, 근본적인

원인을 파악함과 동시에, 복구 전략을 수립하여야 한다. 이러한 경우 많은 기업들은 엔드포인트 포렌식 분

석 툴에 의존하고 있다. 이러한 툴들은 느릴 뿐 아니라, 고도의 스킬을 요하며, 상당히 다루기 까다롭고 무겁

기 때문에 대규모 분산 네트워크에는 효과적이지 못하다. 결과적으로 많은 조사 업무들은 사고의 영향을 단

정짓는데 실패하고 있으며, 설혹 성공한다고 하더라도 몇 주에서 몇 달이 소요된다. 이는 필연적으로 적시

에 조치할 수 있는 성공가능성을 급감시킨다. 게다가 공격자의 침입시간을 늘려주게 되어 기업은 지속적인

리스크에 노출될 수 밖에 없다.

많은 기업들은 엔드포인트 조사 및 분석을 위해 다음의 기술들에 의존하고 있다.

● 안티바이러스 또는 HIPS(Host intrusion prevention system) 이벤트 로그를 중앙에서 분석 - 이는 시그니처 기반,멀웨어 중심의 알려진 위협탐지에 국한되어 있다.

● SIEM(Security information and event management)을 통한 이벤트 모니터링 및 상관관계 분석 - 네트워크 장비에서는 상당량의 데이터를 수집하는 반면, 엔드포인트에서는 최소한의 데이터만을 수집한다. 많은 기업에서는 기술적 어려움 및 비용적 문제로 모든 시스템으로부터 이벤트를 수집하지 못하고 일부 제한된 서버군 에서만 보안 이벤트 로그를 수집하고 있다.

● 전체 디스크 및 메모리 이미지를 캡처하는 기존 원격 포렌식 분석 툴 들은 단일 호스트 분석에는 적합하지만, 많은 시간과상당 수준의 분석 기술을 요구한다. 게다가 보유시스템 전반에 걸친 신속한 조사 및 증거의 수집에는 효과적이지 못하다.

● 사고 대응 툴들은 주로 과거 포렌식 액티비티를 단일 화면에 보여주는데 집중하는데, 다른 조사 툴과 결합하여 사용될 경우 유용할 수 있으나, 지연된 아티팩트(사용되지 않고 있는 파일 등) 또는 일정 기간으로 한정된 히스토리 상 누락된 이벤트 등에 대한 검색에는 무력할 수 밖에 없다. 특히나 이들 솔루션들은 데이터 전송, 저장, 검색을 위해 과다한 하드웨어 인프라 및 네트워크 리소스를 요구한다.

WITH TANIUM

1. 개별 엔드포인트에 신속하게 접속하여 실시간 포렌식 조사를 수행

2. 커널 레벨 모니터링을 통해 프로세스 실행, 파일 시스템, 레지스트리 변경, 네트워크 연결, 드라이버 로딩, 보안 이벤트등에 대한 상세 메타정보를 포함한 증거를 보존 – 타임라인 분석, 검색, 필터링

3. 메모리 이미지, 이벤트 로그, 레지스트리 콘텐트 및 파일 시스템 메타정보와 같은 추가 증거를 확보하여, 의심스러운 시스템에 대한 심층 분석을 수행

4. 심층 분석을 통해 드러난 단서들을 사용하여, 모든 시스템의 히스토리, 현재 상태, 누락된 증거 등을 15초 이내 검색


























WITH TANIUM


















9USE CASES














Use Case: 침입이 의심되는 시스템에 대한 즉각적인 위험수준 판단 및 조사

태니엄은 사고 대응조사를 위해 필요한 현재 및 과거 엔드포인트 데이터에 직접 접근한다. 특히 태니엄의 중요한 점은 일반적으로 OS에서 보존하지 않는 다양한 포렌식 아티팩트들을 기록한다는 점인데, 이는 다음과 같다.

● 실행 프로세스 경로, 명령 라인, 상위 명령 라인, 해시 및 기타 사용자 컨텍스트(Context)

● 파일 생성, 삭제, 쓰기 및 파일명 변경 이벤트 – 사용자 및 프로세스 컨텍스트

● 레지스트리 키/값 생성, 쓰기 및 삭제 이벤트 – 사용자 및 프로세스 컨텍스트

● 로컬 및 원격 주소 및 포트를 포함한 네트워크 연결 정보 – 사용자 및 프로세스 컨텍스트

● 로드 된 드라이버 경로, 해시 및 디지털 시그니처 정보

● 로그온, 로그오프, 크리덴셜(Credential) 변경, 그룹 멤버십 및 정책 등, 기존 이벤트 로그와는 독립적으로 저장된 보안 이벤트

사용자는 원격 시스템에 접속하여 즉각적으로 이러한 증거를 검색하고, 타임라인 분석을 수행하거나 최근 액티비티에 대한 스냅샷을 확보하여, 오프라인 상태에서도 검토가 가능하다. 증거 확보와 사후 처리를 짧은 시간에 수행할 수 있으며, 검색 및 타임라인 분석 외에도 보다 강화된 증거 분석을 위해 인터렉티브한 시각화 환경을 제공한다. 태니엄의 시각화 환경에서는 부모-자식 프로세스 관계를 관찰할 수 있는 프로세스 트리가 제공되며, 파일, 레지스트리, 네트워크 및 프로세스 이벤트의 클러스터를 알려주는 인터렉티브 타임라인이 제공된다.

분석자가 추가적인 증거를 필요로 하는 경우에, 태니엄은 윈도우, 맥 또는 리눅스 엔드포인트에 즉각적으로 연결하여, 파일시스템 메타정보, 메모리 이미지, 이벤트 로그, 오토런 메커니즘과 같은 로우레벨 포렌식 아티팩트들을 확보할 수 있다.

분석자는 태니엄을 활용하여, 필요한 타임프레임, 네트워크 주소, 파일명, 해시 등에 대한 현재 단서들을 빠르게 확인하고, 각 단서들의 위험수준을 쉽게 파악할 수 있다. 태니엄은 조사 시나리오를 수행하기 위해 일반적으로 수행되는 단계들을 다음과 같이 단순화 한다.

● 악성 소프트웨어를 시스템에 설치할 수 있는 취약점 공격(Exploit)을 포함한 비인가 접근 등 보안사고의 근본 원인을식별

● 보안 경보 발생 시, 시스템에서 해당 네트워크 주소와 커뮤니케이션을 개시한 원인이 무엇이며, 왜 그렇게 되었는지판단

● 공격자의 정찰행위, 우회, 기타 명령 및 제어가 일어나는 동안 실행되는 명령문 들을 검토

● 탈취된 계정을 통한 네트워크 또는 원격데스크톱 로그온과 같은 크리덴셜 탈취 및 미인가 행위의 증거를 탐지

● 데이터 유출을 위해 단계적으로 준비된 임시 파일의 생성 및 전송을 식별


















WITH TANIUM






























WITH TANIUM


















10USE CASES






























Use Case: 새롭게 발견된 단서들을 활용, 몇 초안에 침입에 대한 조사 실시

사고 조사관이 개별 시스템에 대한 침입을 확인하는 데 성공하였다면, 다음은 확인된 내용을 바탕으로 기업 전체 시스템에 대한 영향을 평가하여야 한다. 사실 대부분의 기업들에서는 이러한 단계를 수행하는데 실패하고 있다. 이는 기존 기업에 도입된 엔드포인트 탐지 및 대응 솔루션 대부분이 침입 상황을 판단하는데 필수적인 속도, 규모의 대응, 사용 편의성 등이 결여되어 있기 때문이다. 제한적으로 수집된 데이터에 대해서만 검색이 가능하도록 설계되어 있는 것도 또 다른 이유이다.

태니엄은 과거, 현재 및 지연 데이터에 대해 모든 시스템을 대상으로 몇 초안에 검색을 수행할 수 있는 유일한 플랫폼이다. 애드혹 및 IOC 탐지에 그치지 않고 포렌식 아티팩트와 증거를 토대로 조사관에게 기업 전반에 대한 검색을 수행할 수 있도록 한다. 이는 복잡한 사고의 대응을 위한 필요 시간을 대폭 줄여주고, 수 백만 대의 엔드포인트 전반에 걸쳐 포괄적인 복구조치가 가능하도록 한다.

다음의 몇 가지 사례는 시스템 침입 발생 시, 태니엄을 통해 질의 및 응답이 가능한 예시들이다.

● 특정 파일명, 디렉토리, 명령라인 인수(Arguments) 또는 해시(Hash)를 가진 알려진 악성 프로세스가 어느 컴퓨터에있는가?

● 악성 DLL을 로딩하도록 설정된 레지스트리 키 및 값을 가지는 컴퓨터는 무엇인가?

● 공격자가 선호하는 네이밍 습관을 보이는 파일 또는 경로(실행되고 있거나, 최근 생성되었거나, 최근 삭제된)가 확인되는 컴퓨터는 무엇인가?

● 알려진 악성 IP 어드레스와 통신하는 시스템 및 프로세스는 무엇인가?

● 특정 기간 동안, 침입된 사실이 알려진 계정으로 실행된 프로세스, 레지스트리 또는 파일 시스템 액티비티는 무엇인가?

● 침입이 알려진 로컬 또는 도메인 계정이 로그인 한 대상은 무엇인가? 그리고 현재 사용자는 어느 시스템에서 무엇을 하고 있는가?








WITH TANIUM






















Customer Spotlight한 공공 부문 고객은 대형 보안사고 소식으로 악성 파일 MD5 해시 120개를 30일 이내에 체크하라는 공지를 받았다. 이 고객은 100,000대의 엔드포인트를 대상으로 불과 4시간 만에 모든 프로세스를 완료하였다.


11USE CASES















































WITH TANIUM





Remediate: 공격자 및 보안 취약점을 정확하고 신속하게 제거

보안 팀에서 보안사고에 대한 조사를 완료하고 문제가 되는 침입에 대한 조치를 시행하고자 하나, 종종 해

당 툴에 대한 패치업무 수행을 관리하는 또 다른 관리자에게 모든 책임을 넘기고 손을 떼야 하는 상황이 발

생한다. 복구 프로세스에 있어서 이와 같은 업무 연속성의 단절은 과중한 업무에 시달리는 관리자에게 병

목현상을 유발하여, 픽스(Fix)를 준비하는 데에만 수 일이 소모되는 결과를 낳기도 한다.

WITH TANIUM

● 한 명의 사용자가 수 백만 대의 엔드포인트에 대해 필요한 복구 조치를 즉각 제공한다.

● 팀은 모든 픽스(Fix)가 제대로 실행 되었는지를 확신할 수 있도록 가시화하여 공유할 수 있으며, 성공적인 픽스의 완료를 수 초 이내 검증하고, 동일한 침입이 발생하지 않을 것이라는 확신을 가질 수 있다.

Use Case: 멀웨어 제거 및 침입 확인된 엔드포인트에 대한 권한 획득

일단 사고에 대한 철저한 조사가 이루어지면, 복구조치는 신속하고 정확하게 수행되어야 하는데, 이는 공격자가 복구조치에 필요한 대응시간을 최소화 한다는 것을 의미한다. 현재의 툴들은 지나치게 느리기도 하거니와, 빠른 속도로 진화하는 위협 및 공격자의 고도화 된 기술들에 대응하기 위해 필수적인 제어 범위를 제공하고 있지 않다.

태니엄을 활용할 경우, 사고 대응자는 모든 감염 시스템에 대해 체계적인 검역(Quarantine)을 수행할 수 있으며, 태니엄 서버와만 통신할 수 있도록 즉각적으로 통제하고, 우회경로 활용이나 데이터 유출 등의 추가적인 시도를 차단할 수 있다. 다른 보안 제품들과는 달리, 태니엄을 활용하면 관리자는 엔드포인트에 대한 직접적인 조치를 추가적으로 시행할 수 있다. 즉, 바이러스, 웜, 트로이안, 봇, 백도어 및 다른 종류의 멀웨어들을 직접 제거하고, 대규모 분산 환경에서 발생한 사고로부터 복구할 수 있다. 물론 온디맨드 형태로 진행할 수도 있으며, 정기적인 스케줄을 실행할 수도 있다.

다음은 태니엄 플랫폼이 네트워크 내 하나 이상의 엔드포인트에 대해 불과 몇 초안에 실행하여 완료할 수 있는 멀웨어 복구 조치들의 예시이다.

● 악성 프로세스 제거

● 오토런 레지스트리 키 복구

● 상승된 허가 권한을 가지는 로컬 계정의 권한 하향 또는 삭제

● 침입된 사용자 크리덴셜 리셋

● 위험 애플리케이션(Rogue application)의 언인스톨

● 권한 미부여 연결 또는 개방된 포트의 폐쇄





12USE CASES















































WITH TANIUM



















Use Case: 치명적 취약성에 대한 비상 보안업데이트 실행

글로벌 규모의 네트워크 환경에서 치명적인 취약성에 노출되어 있거나, 가짜 보안 소프트웨어가 실행된 기기들을 정확하게 식별하여, 필요한 비상 보안업데이트를 실행하고자 할 때, 기존 패치 관리 솔루션을 사용할 경우, 며칠 혹은 몇 주가 소요된다. Heartbleed나 Shellshock와 같은 치명적인 취약성에 노출시간이 길어질 경우, 몇 시간 안에 권한이 탈취되어 돌이킬 수 없는 보안사고가 발생할 확률이 매우 높아진다.

태니엄을 통해 IT 보안 팀은 OS 뿐만 아니라 애플리케이션 수준까지 빠른 시간에 패치 대상을 파악하고(윈도우 뿐만 아니라 자바 및 어도비 플래시까지도), 전사적으로 단 몇 분만에 필요한 보안업데이트 설치를 완료할 수 있다.

Customer Spotlight대역폭이 매우 제한된 환경을 가진 한 공공부문 고객은 1.2백 만개의 보안 패치를 단 4시간 동안 설치 완료할 수 있었으며, 서버의 사용 대역폭은 최대 250Mbps에 불과하였다.


Software

태니엄, 엔드포인트 보안 및 운영의 활용 사례